RNIDS: Problemi i rešenja Internet bezbednosti

Problemi internet bezbednosti postali su svakodnevica savremenog čoveka, te upravo iz tog razloga, a u okviru „Evropskog meseca cyber bezbednosti“, Registar nacionalnog internet domena Srbije (RNIDS) već pet godina organizuje skupove na tu temu. Na ovogodišnjem panelu, pod nazivom „Problemi i rešenja internet bezbednosti“, koji je održan 17. oktobra u Centru za promociju nauke, učestvovali su domaći i strani stručnjaci iz oblasti internet bezbednosti: Branko Stamenković – posebni tužilac za visokotehnološki kriminal iz Tužilaštva za VTK u Beogradu, Aleksandar Pavlović – sistem inženjer kompanije Coming iz Beograda, Žarko Kecić – v.d. direktora RNIDS-a i rukovodilac sektora IKT servisa, te Aleksandar Venedjuhin – Istraživač iz Tehničkog centra za Internet iz Rusije.

O problemima phishing-a i online prevara u Srbiji govorio je Branko Stamenković, te je na početku istakao važnost saradnje RNIDS-a i republičkog javnog tužilaštva, te Posebnog tužilaštva za visokotehnološki kriminal, a u pravcu sprečavanja krivičnih dela na internetu, gde bi RNIDS imao važnu ulogu u identifikaciji pretnji sa kojima će se Internet zajednica u Srbiji u budućnosti susretati. „Ono što nam strana iskustva pokazuju je to da upravo takvom vrstom saradnje između državnog i privatnog sektora dolazi do najboljih rezultata“, dodao je Stamenković. On je dalje, kao jedan od najvećih izazova, istakao problem „phishing-a“, te objasnio da ovaj vid tehnološkog kriminala nije novost, ali da napadači konstantno smišljaju nove načine na koje će phishing prevaru logički, tehnički i logistički da podrže i na kraju izvrše. Sa druge strane je napomenuo da i pored velikih napora koji se ulažu u podizanje svesti korisnika interneta, i dalje se dešava da ovakve prevare uspevaju. „Ja sam očekivao da će razne vrste phishing-a da nestanu, ili se bar spuste na nivo koji je neprimetan ili marginalan, no ovakva vrsta izvršenja krivičnih dela postaje ponovo popularna“, objasnio je dalje. Stamenković je potom govorio o takozvanoj „nigerijskoj šemi prevare“, u kojoj se putem mejla žrtvi obećava određena nagrada ako uplatom neke sume novca pomogne napadaču da dođe do rešenja svog „problema“ koji je obično u vezi sa nekim izmišljenim nasledstvom. „Reakcija žrtava na te mejlove obično nije da ih uklone sa svojih računara, ili da ih prijave nama, već se, na žalost, često počinje sa uplatom novca, a tu se uopšte ne radi o malim sumama – iznosi idu i do par hiljada evra, a količina novca se povećava prilikom svake sledeće uplate“, rekao je Stamenković. On je dalje naglasio da su Tužilaštvu ruke u ovakvim slučajevima obično vezane, budući da se izvršioci uglavnom nalaze u zemljama koje još uvek nisu ratifikovale Konvenciju o cyber kriminalu saveta Evrope, koja je trenutno jedini međunarodno priznati instrument, a priznaje ga tek 57 zemalja u celom svetu. Kao primere za phising napade naveo je dva krivična dela koja uključuju zloupotrebu naloga žrtava na društvenoj mreži Facebook. Prvi slučaj se tiče korisnika koji su dobili poruku sa linkom na sajt izmišljene organizacije koja navodno sprovodi nagradnu igru. Oni koji su kliknuli na link odlazili su na internet stranicu gde je od njih traženo da, kao uslov za učestvovanje u nagradnoj igri, unesu svoje korisničko ime i lozinku za Facebook profil. Nakon tog unošenja podaci korisnika pohranjeni su u bazu, da bi napadači njihove naloge kasnije koristili u različite svrhe. Drugi primer govori o slučaju gde je kreirana lažna Facebook stranica gde su korisnici pozivani da se, zarad osveženja svojih podataka u Facebook-ovoj bazi, uloguju na tu stranu. Ovde se radi o višestrukom phishing-u, gde se pored unošenja korisničkog imena i lozinke, od korisnika tražilo da unesu i lične podatke, a na taj način je napravljena detaljna baza ličnih podataka korisnika, koje počinilac može, na primer, da proda marketinškim agencijama. U zaključku je rečeno da još mora da se radi na podizanju svesti internet korisnika, te da je neophodno ponavljati lekcije koje su već naučene, a kako bi dospele i do mladih korisnika interneta, kojih svakoga dana ima sve više.

Aleksandar Pavlović je održao prezentaciju na temu „Kako sam preživeo napad kriptlokera“, te podelio, kako sam kaže, neslavno iskustvo jednog korisnika iz Srbije. Radi se o jednom informacionom sistemu koji opslužuje 1.500 korisnika, oko 200 virtuelnih servera i 100 korisnika virtuelne desktop infrastrukture. Kada je u pitanju backup, koristio se D2D (disc to disc) softver koji je obezbeđivao kopije podataka za poslednjih sedam dana. Što se tiče strukture napada, radilo se o relativno nepoznatom ransomeware-u NM4 cryptolocker, a napadnuti servisi su bili backup server i mejl server. Napadači su tražili naknadu u iznosu od tri bitkoina, što je u tom trenutku iznosilo 8.000 dolara (danas je to skoro 18.000). Što se tiče enkripcije koja je korišćena prilikom ovog napada, radi se o AES-256 enkripciji, a sam mehanizam je funkcionisao tako što su napadnuti servisi krenuli da kriptuju fajlove, što je dovelo do toga da serveri budu neupotrebljivi. Potencijalni uzroci napada su različiti, a kao prvi se ističe socijalni inžinjering, to jest nedovoljna svest zaposlenih o informatičkoj sigurnosti, kao drugi infekcija kroz neki maliciozni sofver, onda nedostatak sistema za filtriranje na mrežnom sloju, delegacija prava pristupa, i na kraju neuređen proces primene patch-eva. Tokom prezentacije je istaknuto da plaćanje otkupa nije dolazilo u obzir, budući da taj čin spada u podsticanje kriminalnih radnji, pa bi odgovorni u tom slučaju snosili zakonske posledice, a sa druge strane, da je do plaćanja i došlo, niko nije mogao sa sigurnošću da garantuje da će podaci biti vraćeni, te se upravo zbog toga nije računalo na kupovinu ključa. Kao najvažnija stvar u rešavanju ovakvih problema istaknuto je pravljenje kompaktnog tima za oporavak, budući da veliki timovi dovode do rasipanja ideja. Tim, koji je radio na ovom problemu, je posle dva dana od početka napada uspeo da oporavi mejl server, a preko backup-a koji je bio dva dana star. Budući da se radilo o vrsti malicioznog softvera koji je zarazio servis, a sa enkripcijom počeo tek posle mesec dana, nastao je problem i sa backup-om servera, jer su se na njemu još uvek nalazili zaraženi fajlovi. Tako je moralo da se ode još korak dalje, te da se pokrene procedura Disaster Recovery, koja služi da se oporavi prazan mejl server koji se onda podmetne bazi. Kao preventivna mera od ovakvih napada navedeno je definisanje politike sigurnosti na nivou organizacije, potom edukacija zaposlenih na temu informatičke sigurnosti, te unapređenje sigurnosti mejl saobraćaja, a preko filtriranja saobraćaja naprednim rešenjima, kao i upotreba Sandboxing mehanizama za zaštitu mejl saobraćaja i korišćenja SPF-a, DKIM-a, DMARC-a za smanjenje spoofing saobraćaja.

Žarko Kecić je govorio o tome na koje načine RNISD brine o bezbednosti nacionalnih domena .rs i .srb, a u prezentaciji pod nazivom „Bezbednost DNS-a, moguće zloupotrebe i tri nivoa zaštite internet domena“ koja je posvećena činjenici da je RNIDS jedini nacionalni internet registar u svetu koji ima tri nivoa zaštite domena svojih korisnika. „RNIDS se stara o .rs i .srb domenskim prostorima i mi obezbeđujemo da oni ustvari rade – vi birate koji ćete domen registrovati, a mi dajemo garanciju da će on pravilno raditi“, započeo je Kecić svoju prezentaciju. Dalje je istaknuta važnost pitanja da li sistemi koji podržavaju rad domena uvek rade, te da napadači koriste sofisticirane metode i pronalaze nove načine da zloupotrebe te sisteme. DNS sistemi su ti koji omogućavaju rad domenskih prostora, te ništa na internetu bez njih ne bi moglo da funkcioniše. Kao najveći problem naglašeno je to da se ovim sistemima ne posvećuje pažnja koju zaslužuju, što dovodi do mnogih rizičnih situacija. Cilj ove prezentacije bio je da se skrene pažnja javnosti, a naročito sistemu administratora, na značaj DNS sistema koji uglavnom nije u fokusu i u koji se ne investira, pa nastaju problemi zbog toga što mnogi koriste stare verzije softvera, staru opremu, nizak nivo redundantnosti, alate za praćenje rada koji su nikakve ili male operativne vrednosti, te zapošljavaju neiskusne administratore. Budući da svi servisi na Internetu zavise od rada DNS-a, on predstavlja jednu od ključnih tehnologija bez koje mreža ne bi ni postojala. Dalje se govorilo o opasnostima od kontrolisanja DNS sistema i o tome da sama činjenica da neko može da preusmeri korisnike sistema na neki servis, dovodi do zaključka da on može da kontroliše i bilo koju drugu operaciju. Zloupotreba DNS sistema tako omogućava i ozbiljne phishing napade, budući da korisnici mogu da se preusmere na neku lokaciju bez njihovog znanja. Kao mera zaštite DNS sistema navedeno je redovno proveravanje DNS rekorda u roditeljskoj zoni, potom zabrana saobraćaja adresama koje nisu deo korisnikovog sistema (SAV – Source Address Validation), redovno ažuriranje softvera, dozvola razrešavanja DNS upita samo za korisnike sistema, aktivacija opcije Response Rate Limiting (RRL) na autoritativnim serverima koji odgovore pružaju svima, DNSSEC validacija, a najavljeno je da bi RNSID trebalo da potpiše obe TLD (Top-level Domain) zone i sve zone drugog nivoa koje su u njegovoj nadležnosti. Na kraju je istaknuto da RNSID koristi najbolju praksu i konstatno prati funkcionisanje sistema, potom koristi adaptivni Response Rate Limiting na DNS serverima, te za TLD zone koristi Anycast servis globalnih DNS operatera (više od 300 globalno raspoređenih servera), kao i savremena rešenja za zaštitu sistema i registraciju domena.

Gost iz Rusije, Aleksandar Venedjuhin, govorio je o DNSSEC-u (DNS Security Extensions) – sistemu sigurnosnih standarda koji omogućava proveru integriteta podataka u DNS-u (Domain Name System), te iskustvima njegove implementacije. On je na početku objasnio da je DNSSEC sigurnosna ekstenzija DNS sistema, koja štiti korisnike od pogrešnih DNS podataka, kakvi se, na primer, dobijaju “trovanjem” DNS keša. Tako su DNS odgovori koji prođu DNSSEC proveru digitalno potpisani, pa korisnik može da bude siguran da DNS nije falsifikovan na putu od DNS servera. Venedjuhin je dalje rekao da je primena DNSSEC-a u Rusiji počela 2011. godine, a sa .su (Soviet Union) domenskom zonom, koja je u tom trenutku bila najmanja, te je bilo razumno proveriti novu tehnologiju na manjem uzorku pre nego što se primeni na veće. U to vreme DNSSEC još uvek niko nije validirao, te ga niko nije koristio, pa nije bilo uputstava na osnovu kojih je tehnologija mogla da se primenjuje. Primena nove tehnologije na glavnu zonu .ru počela je 2012. godine, te je funkcionisala bez ikakvih problema. Kao glavni razlog tome što DNSSEC nije šire zastupljen u ruskim domenskim zonama, Venedjuhin je naveo to što administratori ne vide dovoljno razloga da implementiraju DNSSEC-a, ili ne žele da invenstiraju vreme u to, pa kao rešenje predlaže automatizaciju koja bi taj proces pojednostavila.

Skup se završio pitanjima novinara i posetilaca, na koje su učesnici dali iscrpne odgovore.